Source: https://www.darkreading.com/vulnerabilities-threats/lotl-attack-malware-windows-native-ai-stack
🛡 概要
最近、WindowsのネイティブAIスタックを利用したマルウェア配信の手法が注目を集めています。セキュリティ研究者のhxr1は、Open Neural Network Exchange(ONNX)ファイルを悪用したLiving-off-the-Land(LotL)攻撃を証明しました。この攻撃手法は、従来のバイナリファイルを使用するのではなく、信頼されたAIモデルを介してマルウェアをターゲットシステムに配信することを可能にします。これにより、従来のエンドポイント検出および応答システム(EDR)やウイルス対策ソフトウェアを回避することができます。
🔍 技術詳細
LotL攻撃において、ONNXファイルは特に危険です。なぜなら、WindowsとそのセキュリティプログラムはONNXファイルを信頼しているためです。これにより、攻撃者は悪意のあるペイロードをONNXモデルのメタデータや構成要素に埋め込むことができます。hxr1の証明概念(PoC)によると、攻撃者はこのファイルを利用して悪意のあるコードを隠し、Windows APIを介して実行することが可能です。これにより、セキュリティプログラムは通常のAI推論処理としてこのファイルを認識し、脅威を見逃す可能性が高まります。
⚠ 影響
この攻撃手法が広がると、企業や個人のデータが危険にさらされる可能性があります。特に、AI機能を利用しているアプリケーションが多くなっている現代では、セキュリティ対策が追いつかないことが懸念されます。攻撃者がONNXファイルを悪用することで、従来のウイルス対策ソフトウェアを回避し、システムに侵入するリスクが高まります。これにより、機密情報の漏洩やシステムの乗っ取りといった深刻な影響が引き起こされる可能性があります。
🛠 対策
このようなリスクに対処するためには、セキュリティツールの見直しが必要です。EDRは、ONNXファイルを読み込むプロセスや抽出されたデータの流れを監視する必要があります。また、YARAルールなどの静的解析ツールを利用して、データ内の疑わしい文字列を監視することも重要です。さらに、AppLockerなどのアプリケーション制御を導入することで、悪意のあるファイルの実行を防ぐことができます。これらの対策を講じることで、AIを悪用した攻撃からシステムを守ることができるでしょう。
